Blog de Paul Jorion

*Godot est mort !*

La presse : Une panne de certains services de Microsoft paralyse vendredi de nombreuses entreprises partout dans le monde

Il y a quatre ans déjà … ma vidéo du 18 décembre 2020 : Les États-Unis ont perdu.

[…] De quoi s’agit-il ? Il s’agit du fait que les logiciels de 18 000 agences et firmes importantes américaines sont hackés, sont piratés par un agent extérieur, un agent extérieur qui a bien caché son jeu puisqu’il n’a agi à aucun moment de l’étranger. Il a d’abord envahi des domaines à l’abandon aux États-Unis et, à partir de là, il s’est infiltré à différents endroits par un moyen au moins qu’on a pu déterminer, qui sont des patches, des rustines, qu’une firme SolarWinds – qui s’occupe de logiciels de mise à jour – des rustines pour des outils Microsoft que cette entreprise distribue à ses clients pour réparer ou améliorer diverses fonctionnalités. Ces patches, ces rustines, étaient des chevaux de Troie, dans lesquels se trouvaient d’autres choses qui sont allées s’installer dans les logiciels.

Cela depuis au moins 4 ans apparemment. On ignore en ce moment , si ces rustines SolarWinds sont le seul moyen [P.J. 16-3 : apparemment non] qui a été utilisé. Elles se trouvent à ces endroits stratégiques que sont la gestion des silos contenant des armements nucléaires, le Ministère des Finances des États-Unis [P.J. 16-3 : la NSA, l’agence de surveillance internationale dont Edward Snowden nous a expliqués le fonctionnement secret] … Enfin, la liste est quasiment infinie. On peut supposer que des alliés des États-Unis ont été compromis de la même manière et je vois parmi les noms déjà cités, les États Arabes Unis, la Belgique, Israël.

Et donc, les États-Unis se retrouvent ce matin à savoir … qu’ils ne savent pas où se trouvent des logiciels qui observent tous leurs mouvements, à 18 000 endroits importants, pour eux comme le Ministère des Finances, des firmes qui sont impliquées dans le réseau d’électricité et justement dans la gestion de l’armement nucléaire. Il y a une puissance étrangère, dont je rappelle la liste des suspects et du responsable éventuel : la Russie, la Chine ou les extra-terrestres.

Quand j’ai appris la nouvelle tout à l’heure, j’ai fait le commentaire suivant :

« Cela signifie-t-il qu’il va se passer quelque chose du côté de Taiwan ? »

Partager :
, ,

17 réponses à “La presse : Une panne de certains services de Microsoft paralyse vendredi de nombreuses entreprises partout dans le monde

  1. Avatar de Khanard
    Khanard

    déjà en 2021 , https://technique-et-droit-du-numerique.fr/cyberattaque-solarwinds/

    Répondre
  2. Avatar de Arnould
    Arnould

    Ca m’étonnerait qu’il se passe quelque chose du côté de Taiwan, d’autant que les Chinois et les Russes sont certainement à l’abri grâce aux sanctions. Mais qu’ils voient ça comme une opportunité de rajouter de l’huile sur le feu, pourquoi pas ?

    Ce serait plutôt un signe le plus que tout se déglingue aux USA. En fait tout ça (p.ex. les crises cardiaques dans des ascenseurs en panne) serait dû à un sous-traitant de Microsoft qui a merdé lors de la dernière mise à jour débutée par l’Australie et qui s’étend à chaque heure un peu plus au monde entier. Voir cet article qui indique le fichier à supprimer :

    https://www.bfmtv.com/tech/panne-microsoft-comment-supprimer-la-mise-a-jour-en-cause-et-relancer-votre-ordinateur_AV-202407190343.html

    Sauf que dans les entreprises les utilisateurs n’ont pas les droits admin pour aller supprimer ce fichier.

    Et pour remonter plus loin dans le temps : à chaque fois que je pense aux mises a jours automatiques imposées par Microsoft aux milliards d’humains qui louent ses services, ça me fait gueuler tout seul dans mon coin. Avec mon Linux Mint Debian Edition 6 : aucun problème ce jour, et c’est moi qui décide ou non d’installer les mises à jour. A bon entendeur…

    Répondre
  3. Avatar de Fabien
    Fabien

    Monsieur, êtes-vous bien sûr de ce que vous avancez?

    11h32 – « Aucun élément en l’état » ne laisse penser à une « cyberattaque », selon l’Anssi

    https://www.lesechos.fr/tech-medias/hightech/en-direct-panne-informatique-geante-de-nombreuses-entreprises-dans-le-monde-paralysees-2108953

    Répondre
    1. Avatar de Paul Jorion
      Paul Jorion

      Tout ce que je sais, c’est que si j’étais eux, je dirais exactement la même chose 😉 .

      Cela dit, les Chinois semblent impactés aux aussi :

      Le Financial Times :

      En Chine, certains travailleurs se sont réjouis de commencer le week-end plus tôt que prévu après que leur employeur leur a demandé de rentrer chez eux.

      L’expression « Thank you Microsoft for an early vacation » a été brièvement le terme le plus recherché sur le site de microblogging Weibo vendredi après-midi, les utilisateurs postant des photos des écrans d’erreur bleus affichés par leurs ordinateurs Windows.

      Répondre
      1. Avatar de Garorock
        Garorock

        Et à Taïwan, ils sont vaccinés:
        https://www.latribune.fr/economie/international/taiwan-les-cyberattaques-explosent-a-5-millions-par-jour-le-scrutin-presidentiel-imminent-987575.html

        Répondre
  4. Avatar de Pad
    Pad

    THN 19 juillet 2024

    SolarWinds a résolu un ensemble de failles de sécurité critiques affectant son logiciel Access Rights Manager (ARM) qui pourraient être exploitées pour accéder à des informations sensibles ou exécuter du code arbitraire.

    Sur les 11 vulnérabilités, sept sont classées comme critiques avec un score CVSS de 9,6 sur 10. Les quatre autres faiblesses ont été classées comme élevées, chacune ayant un score CVSS de 7,6.

    Les failles les plus graves sont listées ci-dessous :

    CVE-2024-23472 – Vulnérabilité de suppression arbitraire de fichiers et divulgation d’informations par traversée de répertoire dans SolarWinds ARM
    CVE-2024-28074 – Vulnérabilité d’exécution de code à distance par désérialisation interne dans SolarWinds ARM
    CVE-2024-23469 – Vulnérabilité d’exécution de code à distance par méthode dangereuse exposée dans SolarWinds ARM
    CVE-2024-23475 – Vulnérabilité de traversée et divulgation d’informations dans SolarWinds ARM
    CVE-2024-23467 – Vulnérabilité de traversée de répertoire avec exécution de code à distance dans SolarWinds ARM
    CVE-2024-23466 – Vulnérabilité de traversée de répertoire avec exécution de code à distance dans SolarWinds ARM
    CVE-2024-23471 – Vulnérabilité d’exécution de code à distance par traversée de répertoire CreateFile dans SolarWinds ARM
    L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de lire et supprimer des fichiers et d’exécuter du code avec des privilèges élevés.

    Les failles ont été corrigées dans la version 2024.3, publiée le 17 juillet 2024, suite à une divulgation responsable dans le cadre de l’initiative Zero Day de Trend Micro (ZDI).

    Cette évolution survient après que l’Agence de cybersécurité et de sécurité des infrastructures (CISA) des États-Unis a ajouté une faille de traversée de chemin à haute sévérité dans SolarWinds Serv-U Path (CVE-2024-28995, score CVSS : 8,6) à son catalogue des vulnérabilités exploitées connues (KEV) suite à des rapports d’exploitation active dans la nature.

    La société de sécurité réseau avait été victime d’une attaque majeure de la chaîne d’approvisionnement en 2020, après que le mécanisme de mise à jour associé à sa plateforme de gestion réseau Orion a été compromis par des hackers russes du groupe APT29 pour distribuer du code malveillant aux clients en aval dans le cadre d’une campagne d’espionnage cybernétique de grande envergure.

    Répondre
    1. Avatar de Pad
      Pad

      La récente panne informatique mondiale, survenue le 19 juillet 2024, semble liée à un incident chez Fastly, un fournisseur de services CDN (Content Delivery Network).

      Répondre
  5. Avatar de Pad
    Pad

    THN 19 juillet 2024

    Plusieurs organisations opérant dans les secteurs mondiaux du transport maritime et de la logistique, des médias et du divertissement, de la technologie et de l’automobile en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni ont été la cible d’une « campagne soutenue » par le groupe de pirates prolifique basé en Chine, APT41.

    « APT41 a réussi à infiltrer et à maintenir un accès non autorisé prolongé aux réseaux de nombreuses victimes depuis 2023, leur permettant d’extraire des données sensibles sur une période prolongée », a déclaré Mandiant, une filiale de Google, dans un nouveau rapport publié jeudi.

    La firme de renseignement sur les menaces a décrit le collectif adversaire comme unique parmi les acteurs liés à la Chine en raison de son utilisation de « malware non public généralement réservé aux opérations d’espionnage dans des activités qui semblent dépasser le cadre des missions parrainées par l’État. »

    Les chaînes d’attaque impliquent l’utilisation de web shells (ANTSWORD et BLUEBEAM), de droppers personnalisés (DUSTPAN et DUSTTRAP), et d’outils disponibles publiquement (SQLULDR2 et PINEGROVE) pour assurer la persistance, livrer des charges utiles supplémentaires et exfiltrer les données d’intérêt.

    Les web shells agissent comme un conduit pour télécharger le dropper DUSTPAN (alias StealthVector) qui est responsable de charger Cobalt Strike Beacon pour la communication de commande et de contrôle (C2), suivi du déploiement du dropper DUSTTRAP après un déplacement latéral.

    Pour sa part, DUSTTRAP est configuré pour décrypter une charge utile malveillante et l’exécuter en mémoire, ce qui, à son tour, établit un contact avec un serveur contrôlé par un attaquant ou un compte Google Workspace compromis dans une tentative de dissimuler ses activités malveillantes.

    Google a déclaré que les comptes Workspace identifiés ont été corrigés pour empêcher l’accès non autorisé. Il n’a cependant pas révélé combien de comptes étaient affectés.

    Les intrusions sont également caractérisées par l’utilisation de SQLULDR2 pour exporter des données des bases de données Oracle vers un fichier local basé sur du texte et de PINEGROVE pour transmettre de grands volumes de données sensibles des réseaux compromis en abusant de Microsoft OneDrive comme vecteur d’exfiltration.

    Il convient de noter ici que les familles de malware que Mandiant suit sous les noms de DUSTPAN et DUSTTRAP partagent des similitudes avec celles qui ont été codenommées DodgeBox et MoonWalk, respectivement, par Zscaler ThreatLabz.

    APT41 Hackers

    « DUSTTRAP est un cadre de plugin multi-étapes avec plusieurs composants, » ont déclaré les chercheurs de Mandiant, ajoutant qu’ils ont identifié au moins 15 plugins capables d’exécuter des commandes shell, de réaliser des opérations sur le système de fichiers, d’énumérer et de terminer des processus, de capturer des frappes de clavier et des captures d’écran, de collecter des informations système et de modifier le registre Windows.

    Il est également conçu pour sonder les hôtes distants, effectuer des recherches de nom de domaine (DNS), lister les sessions de bureau à distance, télécharger des fichiers et effectuer diverses manipulations du Microsoft Active Directory.

    « Le malware DUSTTRAP et ses composants associés observés lors de l’intrusion étaient signés avec des certificats de signature de code vraisemblablement volés, » a déclaré la société. « L’un des certificats de signature de code semblait être lié à une entreprise sud-coréenne opérant dans le secteur des jeux vidéo. »

    GhostEmperor revient hanter
    Cette révélation intervient alors que la société israélienne de cybersécurité Sygnia a dévoilé les détails d’une campagne de cyberattaque menée par un groupe sophistiqué lié à la Chine appelé GhostEmperor pour livrer une variante du rootkit Demodex.

    La méthode exacte utilisée pour pénétrer les cibles n’est actuellement pas claire, bien que le groupe ait été précédemment observé en train d’exploiter des vulnérabilités connues dans des applications accessibles depuis Internet. L’accès initial facilite l’exécution d’un script batch Windows, qui dépose un fichier d’archive Cabinet (CAB) pour finalement lancer un module implant central.

    L’implant est équipé pour gérer les communications C2 et installer le rootkit kernel Demodex en utilisant un projet open-source nommé Cheat Engine pour contourner le mécanisme d’application de la signature de pilotes Windows (DSE).

    « GhostEmperor utilise un malware multi-étapes pour atteindre l’exécution furtive et la persistance et utilise plusieurs méthodes pour entraver le processus d’analyse, » a déclaré le chercheur en sécurité Dor Nizar.

    Répondre
  6. Avatar de Garorock
    Garorock

    « Le patron de la société de cybersécurité Crowdstrike attribue la panne informatique mondiale à une mise à jour logicielle
    Le président de CrowdStrike, George Kurtz, a déclaré que le problème était dû à un « défaut détecté dans une seule mise à jour de contenu pour les hôtes Windows ».

    Il a écrit sur X : « CrowdStrike travaille activement avec les clients concernés par un défaut détecté dans une mise à jour de contenu unique pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s’agit pas d’un incident de sécurité ni d’une cyberattaque. Le problème a été identifié, isolé et un correctif a été déployé.

    Nous orientons les clients vers le portail d’assistance pour obtenir les dernières mises à jour et continuerons à fournir des mises à jour complètes et continues sur notre site Web. Nous recommandons également aux organisations de s’assurer qu’elles communiquent avec les représentants de CrowdStrike via les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité des clients de CrowdStrike. »

    Répondre
  7. Avatar de Thomas jeanson
    Thomas jeanson

    En tous cas les amis, des fois que, ce fut un réel plaisir !

    Répondre
    1. Avatar de Paul Jorion
      Paul Jorion

      Thanks for the honour of your company.

      Répondre
    2. Avatar de CloClo
      CloClo

      De même ! Pendant quelques instants j’ai même pensé qu’une frappe imminente était possible. Juste avant les JO ! Le vieux Monde ne cesse de mourir. Une simple pichenette le fera basculer dans les oubliettes.

      Attention je le suis trompé de personne l’autre jour !

      Répondre
      1. Avatar de Garorock
        Garorock

        Hé oui! Biden n’a pas été visé par un fusil, seulement par la vieillesse.
        Est ce que les sous-marins nucléaires ne fonctionnent qu’avec Windows?
        😎

        Répondre
        1. Avatar de CloClo
          CloClo

          Covidé !

          Répondre
  8. Avatar de Erakis
    Erakis

    panne mondiale microsoft : panne ou test de cyberguerre ?? en tous cas, civilisation bâtie sur du sable, je veux dire du silicium…

    Répondre
  9. Avatar de Pascal
    Pascal

    Paul Virilio rappelle que tout innovation technologique est nécessairement associée à une probabilité d’accident. Ces accidents sont proportionnels à la puissance énergétique qui est en jeux dans l’innovation pour aboutir potentiellement à l’accident intégral.
    Accident des substances, accident des vitesses, accident des connaissances… il ajouterait certainement aujourd’hui accident de l’information (au sens informatique).
    https://m.youtube.com/watch?v=jwSWT2Lo-Nc&pp=ygUbdmlydWxpbyBhY2NpZGVudCBpbnTDqWdyYWwg

    Répondre
  10. Avatar de Paul Jorion
    Paul Jorion

    Quand la révélation du méga-piratage avait eu lieu en décembre 2020, une partie de la presse rapportait : « SolarWind déclare : ‘Ce n’est rien, juste un incident technique de notre côté, dû à une mise à jour de sécurité !’ ».

    Aujourd’hui, ce n’est plus SolarWind, c’est CrowdStrike, mais on nous refait le même coup dans les mêmes termes :

    Le Financial Times :

    La panne a été imputée à une mise à jour de sécurité du groupe américain CrowdStrike, qui a causé un problème avec Windows de Microsoft. Les PC et les serveurs sont touchés, ce qui laisse supposer que des millions d’ordinateurs devront être réparés pour que le problème soit résolu.

    On découvrira dans quelques jours de quelle manière précise une firme qui prétend être championne du monde de la cybersécurité a été … piratée.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Contact

Contactez Paul Jorion

Commentaires récents

Articles récents

Catégories

Archives

Tags

Allemagne Aristote bancor BCE Bourse Brexit capitalisme centrale nucléaire de Fukushima ChatGPT Chine Confinement Coronavirus Covid-19 dette dette publique Donald Trump Emmanuel Macron Espagne Etats-Unis Europe extinction du genre humain FMI France Grèce intelligence artificielle interdiction des paris sur les fluctuations de prix Italie Japon Joe Biden John Maynard Keynes Karl Marx pandémie Portugal psychanalyse robotisation Royaume-Uni Russie réchauffement climatique Réfugiés spéculation Thomas Piketty Ukraine ultralibéralisme zone euro « Le dernier qui s'en va éteint la lumière »

Meta